專利名稱:外聯(lián)網(wǎng)訪問管理裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于管理或控制對xSP的外聯(lián)網(wǎng)的訪問的訪問管理裝置和方法。
背景技術(shù):
按照常規(guī),在xSP(擴(kuò)展服務(wù)提供器)中管理用戶是基于簡單的驗(yàn)證方案的。然而,隨著在線市場盛行,新的市場的開發(fā)變得有必要。確切地說,根據(jù)角色和資源來管理訪問的必要性變得重要。
例如訪問管理解決方案或程序包的常規(guī)產(chǎn)品的目標(biāo)在于小規(guī)模門戶站點(diǎn)或內(nèi)部網(wǎng)。這些產(chǎn)品不僅昂貴,且效率低,因?yàn)樗鼈儾捎脤?shí)時集中管理方案且具有復(fù)雜的分級結(jié)構(gòu),且因?yàn)橛邢薜挠脩艨墒褂盟鼈儭?br>
將詳細(xì)描述常規(guī)訪問管理方法的缺點(diǎn)。
(1)由于集中授權(quán)管理的極進(jìn)網(wǎng)絡(luò)通信量(Extreme network traffic)Web服務(wù)器與目錄(或DB)服務(wù)器之間的中央管理服務(wù)器起對會話和訪問進(jìn)行實(shí)時管理的作用。中央管理服務(wù)器檢驗(yàn)從所有用戶那里接收到的請求信號,并同意授權(quán)。因此,這僅適合內(nèi)部網(wǎng)或小規(guī)模門戶站點(diǎn),其具有小數(shù)目的用戶且使用量小。另外,考慮到xSP的特性(即,多于10,000,000的用戶數(shù)目、簡單的分級結(jié)構(gòu)和頻繁的網(wǎng)絡(luò)使用),此集中管理模型需要過多的維護(hù)費(fèi)用來解決由于大規(guī)模網(wǎng)絡(luò)通信量引起的性能降級。
(2)授權(quán)高速緩沖存儲器的不穩(wěn)定性通常,為克服集中管理的缺點(diǎn),添加“授權(quán)高速緩沖存儲器”。這可通過關(guān)于相同資源或用戶的請求而在相關(guān)web服務(wù)器中對其自身進(jìn)行處理來減少網(wǎng)絡(luò)通信量從而改進(jìn)處理性能。然而,不可避免的是,其不可能簡化且難以將高速緩沖存儲器大小控制到穩(wěn)定服務(wù),且因此其應(yīng)該需要長期試錯。
(3)會話管理的低效率由于通過中央服務(wù)器來管理所有用戶的會話,所以集中管理模型僅適合小規(guī)模內(nèi)部網(wǎng)模型。對于實(shí)時會話管理來說,其需要比kB單位大的大cookie。然而,在xSP的特性中,集中會話管理和極大cookie在網(wǎng)絡(luò)負(fù)載或服務(wù)器可用性方面效率非常低。從前述內(nèi)容可見,需要滿足大規(guī)模和高性能的要求的新型訪問管理解決方案。
發(fā)明內(nèi)容
本發(fā)明的目標(biāo)在于提供用于管理對大規(guī)模門戶站點(diǎn)的驗(yàn)證和訪問的高性能裝置和方法。
術(shù)語的定義ACE(訪問控制項(xiàng))——訪問控制項(xiàng),例如ID、名稱、站點(diǎn)域名、服務(wù)器列表、資源列表、改變的URL、描述等等ACL(訪問控制列表)——ACE的列表ACL高速緩沖存儲器——域web服務(wù)器存儲ACL的應(yīng)用變量的存儲空間Role——用戶可訪問的ACE組。可通過使用用戶計(jì)劃的授權(quán)屬性來界定用戶Role。由于隨著ACE數(shù)量增加,要存儲在cookie中的Role信息的量也增加,所以Role信息的減少策略為有必要。在將Role存儲作為ACE ID列表的情況下,如果由人類可讀名稱來指定ACE列表,那么信息的量顯著增加。因此,如果由一連串62進(jìn)位數(shù)字文本串a-zA-Z0-0來表達(dá)ACE ID,那么可減少信息量。即,在2個位數(shù)的情況下,可表達(dá)3,844個Role信息,且在3個位數(shù)的情況下,可表達(dá)238,828個Role信息(例如,可表達(dá)為Role=A0:B2:cZ:Ku:Z3:...)。當(dāng)用戶驗(yàn)證時,Role存儲在AA cookie中。
用戶計(jì)劃——存儲結(jié)構(gòu),界定各種用戶屬性,例如ID、密碼等等AA(驗(yàn)證和授權(quán))服務(wù)器——起用戶驗(yàn)證、Role設(shè)定、ACL高速緩沖存儲器同步的作用AA cookie——包括用戶的驗(yàn)證和授權(quán)信息的cookie為了克服“集中授權(quán)和授權(quán)高速緩沖存儲器的問題”,本發(fā)明通過使用經(jīng)高速緩沖存儲的ACL來分散訪問管理的角色,并通過使用AA服務(wù)器來使經(jīng)分散的訪問管理角色同步。另外,本發(fā)明通過采用基于web瀏覽器cookie的驗(yàn)證/授權(quán)來解決“會話管理的低效率”,且本發(fā)明另外包括支持互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)以及處理多種安全/加密技術(shù)和用戶界定的訪問管理的功能。
圖1展示本發(fā)明的訪問管理裝置的簡要構(gòu)造。多個用戶預(yù)訂的域web服務(wù)器(100a、100b、......)中的每一個分別通過使用ACL信息來檢驗(yàn)用戶的授權(quán)。因此,如果域web服務(wù)器產(chǎn)生經(jīng)加密的Role信息cookie,那么此cookie信號通過負(fù)載平衡/容錯模塊200,且在AA服務(wù)器300中驗(yàn)證。在驗(yàn)證后,Role、ACL和ACE信息存儲在授權(quán)信息存儲模塊400中。
本發(fā)明的技術(shù)特征如下。
通過使用ACL高速緩沖存儲器來分散訪問管理的角色(見圖14)因?yàn)樵?jīng)請求的資源的授權(quán)都被存儲,所以常規(guī)高速緩沖存儲策略的效率較低。在本發(fā)明中,通過簡化(或用符號表示)ACL并將其存儲在如ACL高速緩沖存儲器的塊(lump)中,來將訪問管理的角色分配到各個域web服務(wù)器100。因此,使訪問管理服務(wù)器之間的網(wǎng)絡(luò)通信量最小化。即,每個所述各個域web服務(wù)器100管理其自己的ACL高速緩沖存儲器并自己處理訪問管理。
通過使用AA服務(wù)器來使經(jīng)分散的訪問管理的角色同步(見圖15)隨著訪問管理角色被分配,有必要使服務(wù)器之間的ACL高速緩沖存儲器自動同步。為此,如同圖15,每當(dāng)web服務(wù)器100啟動時,ACL高速緩沖存儲器就從AA服務(wù)器300啟動。如果ACL由監(jiān)控器改變,那么相關(guān)web服務(wù)器100的ACL高速緩沖存儲器信息實(shí)時更新以保持同步。另外,AA服務(wù)器300控制ACL同步日志,使得可容易地達(dá)到故障檢修(troubleshooting)和維護(hù)。
通過使用用戶web瀏覽器cookie來管理驗(yàn)證和授權(quán)(見圖16)服務(wù)器不適合管理大規(guī)模用戶的會話。因此,根據(jù)本發(fā)明,通過使用經(jīng)加密的用戶web瀏覽器cookie來管理用戶會話,且因此使服務(wù)器負(fù)載最小化。
從前述內(nèi)容可見,本發(fā)明通過使用cookie和標(biāo)準(zhǔn)http協(xié)議來執(zhí)行高速驗(yàn)證,在驗(yàn)證時,存儲并管理經(jīng)簡化的(或用符號表示的)Role作為cookie。通過這樣做,本發(fā)明通過使用ACL高速緩沖存儲器和域web服務(wù)器100的cookie的Role來管理訪問。
當(dāng)結(jié)合附圖考慮時,本發(fā)明的上文和其它目標(biāo)、特征和優(yōu)勢將自以下描述中變得更明顯,其中圖1展示本發(fā)明的整體體系結(jié)構(gòu)。
圖2展示本發(fā)明的詳細(xì)結(jié)構(gòu)。
圖3和圖4展示驗(yàn)證的程序。
圖5和圖6展示參考授權(quán)的程序。
圖7到9展示改變授權(quán)的程序。
圖10到13展示使ACL高速緩沖存儲器同步的程序。
圖14展示通過使用ACL高速緩沖存儲器來分配訪問管理的角色的原理。
圖15展示通過使用AA服務(wù)器來使經(jīng)分配的訪問管理的角色同步的原理。
圖16展示通過使用用戶web瀏覽器cookie來管理授權(quán)和訪問的原理。
具體實(shí)施例方式
現(xiàn)在將詳細(xì)論述訪問管理裝置的構(gòu)造和操作。圖2展示圖1中所示的簡要系統(tǒng)的詳細(xì)的獨(dú)特構(gòu)造。其中,域web服務(wù)器100、AA服務(wù)器300和授權(quán)信息存儲模塊400互連。用戶web瀏覽器500通過HTTP技術(shù)與AA服務(wù)器300和域web服務(wù)器100互連。
在圖2中,AA服務(wù)器300包含AA模塊302,起驗(yàn)證和授權(quán)的作用;管理模塊304,用于管理本發(fā)明的整個系統(tǒng)和授權(quán)策略;ACL高速緩沖存儲器控制模塊306,用于使各個域web服務(wù)器100的ACL高速緩沖存儲器與AA服務(wù)器300同步;加密模塊308,用于對要給用戶的AAcookie進(jìn)行加密;計(jì)劃提供器310和用戶提供器312,用于提供獨(dú)立于授權(quán)信息存儲模塊400的操作系統(tǒng)。
域web服務(wù)器100包含AA模塊102,用于通過使用ACL高速緩沖存儲器來檢驗(yàn)用戶是否訪問;ACL高速緩沖存儲器104,其由AA服務(wù)器300遞送;解密模塊106,用于對經(jīng)加密的AA cookie進(jìn)行解密;模塊108,用于處理來自用戶web瀏覽器500的資源請求。
如將在圖14到16中所闡釋,用戶web瀏覽器500、AA服務(wù)器300與域web服務(wù)器100之間的請求和回應(yīng)操作由AA cookie執(zhí)行。
下文將闡釋如上文所構(gòu)造的裝置的操作。本發(fā)明的裝置的操作實(shí)質(zhì)上對應(yīng)于本發(fā)明的方法種類的操作,且因此將闡釋圖2的訪問管理裝置的操作和本發(fā)明的訪問管理方法。
首先,圖3展示驗(yàn)證中的授權(quán)程序。當(dāng)用戶通過互聯(lián)網(wǎng)登錄域web服務(wù)器100時,域web服務(wù)器100從AA服務(wù)器300請求驗(yàn)證。接著AA服務(wù)器300通過使用用戶ID和密碼來使授權(quán)信息存儲模塊400參考驗(yàn)證屬性和用戶授權(quán)屬性。在參考后,AA服務(wù)器300通過AA cookie來設(shè)定用戶瀏覽器中的Role值(例如,Role=A0:K1:z8:03)。
圖4中說明圖3中所示的程序的功能處理流程。如果用戶web瀏覽器500訪問域web服務(wù)器100S1,那么域web服務(wù)器100的AA模塊102確認(rèn)用戶web瀏覽器500的訪問授權(quán)S2,且用戶web瀏覽器500從AA服務(wù)器300的AA模塊302請求驗(yàn)證。AA服務(wù)器300的AA模塊302使計(jì)劃提供器310參考所述授權(quán)S4,計(jì)劃提供器310使授權(quán)信息存儲模塊400參考站點(diǎn)S5,并將經(jīng)參考的結(jié)果遞送到用戶提供器312。用戶提供器312使授權(quán)信息存儲模塊400參考用戶授權(quán)以作出驗(yàn)證并設(shè)定用戶授權(quán)S6,并向用戶web瀏覽器500傳輸信息S7。
接下來,將論述參考所述授權(quán)。在ACL高速緩沖存儲器中,每個域web服務(wù)器將與其自身有關(guān)的ACL維持為高速緩沖存儲器;使用戶Role參考每個ACE的資源文本串;且根據(jù)ACE資源項(xiàng)目來檢索文本串模式。圖5和圖6詳細(xì)描述此授權(quán)參考。
在圖5中,用戶從域web服務(wù)器100請求頁面(URL)訪問,Role值(或Role代碼)從AA cookie中提取(例如,Role=A8:Bf:03)。域web服務(wù)器100檢驗(yàn)用戶授權(quán)首先,其從ACL高速緩沖存儲器中提取訪問資源的ACE ID,以便檢驗(yàn)訪問資源的ACE ID是否存在于用戶Role中,且接著,如果ACE ID存在于用戶Role中,那么同意所述訪問授權(quán)。
通過圖6復(fù)查所述功能處理。在圖6中,如果用戶訪問域web服務(wù)器100S1,那么域web服務(wù)器100的AA模塊102檢驗(yàn)授權(quán)S2,且資源請求處理模塊108處理所述請求S3,并通過發(fā)送經(jīng)處理的結(jié)果來回應(yīng)用戶web瀏覽器S4。
接下來,將論述改變用戶授權(quán)。圖7展示加入服務(wù)的流程,且圖8展示退出服務(wù)的流程。在圖7中,如果用戶請求所述服務(wù)加入,那么域web服務(wù)器向AA服務(wù)器發(fā)送用戶ID和Role代碼,且AA服務(wù)器將所述Role代碼添加到用戶屬性中。相反,如果用戶請求所述服務(wù)退出,那么域web服務(wù)器向AA服務(wù)器發(fā)送用戶ID和Role代碼,且AA服務(wù)器將Role代碼從用戶屬性中移除。
參看圖9,作為功能處理,用戶web瀏覽器500請求服務(wù)加入或退出S1,域web服務(wù)器100的資源請求處理模塊108請求AA服務(wù)器的AA模塊302加入/退出S2,且AA模塊302改變用戶授權(quán)信息并向用戶提供器312發(fā)送所述信息S3。用戶提供器312通過向授權(quán)信息存儲模塊400發(fā)送經(jīng)改變的信息來更新用戶信息S4。此時,AA模塊302向資源請求處理模塊108報(bào)告用戶信息已改變S5。接著,用戶被告知加入/退出處理完成S6。
同時,如下闡釋對本發(fā)明來說必要的ACL高速緩沖存儲器的同步。當(dāng)每個域web服務(wù)器在用戶的訪問請求時參考Role時,需要ACL高速緩沖存儲器。域web服務(wù)器自身擁有專用ACL高速緩沖存儲器,以便在參考時不另外與AA服務(wù)器通信。高速緩沖存儲器是位于web服務(wù)器的存儲器中的應(yīng)用變量(即,使用所述應(yīng)用的所有客戶端共享的變量)。
每個域web服務(wù)器均保留此ACL高速緩沖存儲器。因此,當(dāng)AA服務(wù)器更新ACL時,同步問題出現(xiàn)在ACL高速緩沖存儲器與域web服務(wù)器之間??赏ㄟ^圖10到13中所示的處理來解決此問題。
圖10展示啟動程序。每當(dāng)域web服務(wù)器啟動時,ACL高速緩沖存儲器就從AA服務(wù)器啟動。即,當(dāng)域web服務(wù)器啟動時,其從AA服務(wù)器請求ACL高速緩沖存儲器,且AA服務(wù)器使授權(quán)信息存儲模塊參考最新的ACL并通過向域web服務(wù)器遞送經(jīng)參考的信息來回應(yīng)域web服務(wù)器。參看圖11,就其功能來說,如果域web服務(wù)器100的AA模塊102向ACL高速緩沖存儲器請求AA服務(wù)器的ACL高速緩沖存儲器控制模塊30S1,那么ACL高速緩沖存儲器控制模塊306從授權(quán)信息存儲模塊400參考ACL高速緩沖存儲器S2,并向域web服務(wù)器100的AA模塊102遞送經(jīng)參考的數(shù)據(jù)S3。
圖12展示ACL高速緩沖存儲器初始化后的同步程序。在ACL高速緩沖存儲器添加、刪除或改變的情況下,如果更新信息發(fā)送到相關(guān)域web服務(wù)器,那么所述相關(guān)域web服務(wù)器實(shí)時更新高速緩沖存儲器信息。如果更新失敗,那么由于周期性地執(zhí)行高速緩沖存儲器更新,所以可一直存儲最新信息。在圖12中,如果監(jiān)控器通過內(nèi)部網(wǎng)選擇ACL管理,那么AA服務(wù)器選擇ACL高速緩沖存儲器將被更新的域web服務(wù)器并請求選定的域web服務(wù)器進(jìn)行ACL超高速緩存更新(當(dāng)請求時,包括ACE上的詳細(xì)信息),且接著域web服務(wù)器更新ACL信息。
圖13就其功能展示此程序。監(jiān)控器指示AA服務(wù)器的ACL高速緩沖存儲器控制模塊306改變所述授權(quán)S1,ACL高速緩沖存儲器控制模塊306請求授權(quán)信息存儲模塊400進(jìn)行ACL改變且請求域web服務(wù)器的ACL高速緩沖存儲器104進(jìn)行高速緩沖存儲器同步。此處,監(jiān)控器意指用于監(jiān)控和編輯ACE(例如,ACE添加/刪除,以ACE所屬站點(diǎn)、用戶、ACE ID、ACE等等的名義來檢索)并管理用戶Role。
本發(fā)明可解決常規(guī)問題,即1)由于集中授權(quán)管理的極進(jìn)網(wǎng)絡(luò)通信量,2)授權(quán)高速緩沖存儲器的不穩(wěn)定性,和3)會話管理的低效率。尤其,本發(fā)明優(yōu)選適用于對xSP的外聯(lián)網(wǎng)的訪問控制。
雖然已經(jīng)參考執(zhí)行本發(fā)明的某些實(shí)施例展示并描述了本發(fā)明,但所屬領(lǐng)域的技術(shù)人員將了解,可在不脫離由所附權(quán)利要求書所界定的本發(fā)明的精神和范疇的情況下,對本發(fā)明的形式和細(xì)節(jié)作各種改變。
權(quán)利要求
1.一種用于管理對外聯(lián)網(wǎng)的訪問的裝置,其包含AA服務(wù)器,用于管理對所述域web服務(wù)器的訪問驗(yàn)證和授權(quán);授權(quán)信息存儲模塊;和用戶web瀏覽器,其與所述AA服務(wù)器和所述域web服務(wù)器互連;其中所述AA服務(wù)器包含AA模塊,起驗(yàn)證和授權(quán)的作用;ACL高速緩沖存儲器控制模塊,用于使所述各個域web服務(wù)器的ACL高速緩沖存儲器與所述AA服務(wù)器同步;加密模塊,用于對要給所述用戶的AAcookie進(jìn)行加密;以及計(jì)劃提供器和用戶提供器,用于提供獨(dú)立于所述授權(quán)信息存儲模塊的操作系統(tǒng);其中所述域web服務(wù)器包含AA模塊,用于通過使用所述ACL高速緩沖存儲器來檢驗(yàn)所述用戶是否訪問;從所述AA服務(wù)器遞送的ACL高速緩沖存儲器;解密模塊,用于對所述經(jīng)加密的AA cookie進(jìn)行解密;和用于處理來自所述用戶web瀏覽器的資源請求的模塊;其中所述域web服務(wù)器分別通過使用ACL信息來檢驗(yàn)所述用戶授權(quán),且產(chǎn)生經(jīng)加密的Role信息cookie,此cookie信號在所述AA服務(wù)器300中驗(yàn)證,且在驗(yàn)證后,Role、ACL和ACE信息存儲在所述授權(quán)信息存儲模塊中。
2.一種在包含權(quán)利要求1所述的組件的所述裝置中執(zhí)行的用于管理對外聯(lián)網(wǎng)的訪問的方法,所述方法包含以下步驟用戶web瀏覽器訪問域web服務(wù)器;所述域web服務(wù)器的AA模塊確認(rèn)所述用戶web瀏覽器的訪問授權(quán);所述用戶web瀏覽器從所述AA服務(wù)器的所述AA模塊請求所述驗(yàn)證;所述AA服務(wù)器的所述AA模塊使計(jì)劃提供器參考所述授權(quán);所述計(jì)劃提供器使授權(quán)信息存儲模塊參考站點(diǎn)并向用戶提供器遞送經(jīng)參考的結(jié)果;和所述用戶提供器使所述授權(quán)信息存儲模塊參考所述用戶授權(quán)以作出驗(yàn)證并設(shè)定用戶授權(quán),且向所述用戶web瀏覽器傳輸所述信息。
3.根據(jù)權(quán)利要求2所述的方法,其進(jìn)一步包含用戶授權(quán)改變步驟,所述用戶授權(quán)改變步驟包含如果所述用戶web瀏覽器請求所述服務(wù)加入或退出,那么所述域web服務(wù)器的所述資源請求處理模塊請求所述AA服務(wù)器的所述AA模塊加入/退出;所述AA模塊改變所述用戶授權(quán)信息并向所述用戶提供器發(fā)送所述信息;所述用戶提供器通過向所述授權(quán)信息存儲模塊發(fā)送所述經(jīng)改變的信息來更新所述用戶信息;所述AA模塊向所述資源請求處理模塊報(bào)告所述用戶信息已改變,使得所述用戶被告知所述加入/退出處理完成。
4.根據(jù)權(quán)利要求2所述的方法,其進(jìn)一步包含ACL初始化步驟,其包含所述域web服務(wù)器的所述AA模塊向所述ACL高速緩沖存儲器請求所述AA服務(wù)器的所述ACL高速緩沖存儲器控制模塊;和所述ACL高速緩沖存儲器控制模塊從所述授權(quán)信息存儲模塊參考所述ACL高速緩沖存儲器并向所述域web服務(wù)器的所述AA模塊遞送經(jīng)參考的數(shù)據(jù);和ACL同步步驟,其包含監(jiān)控器指示所述AA服務(wù)器的所述ACL高速緩沖存儲器控制模塊改變所述授權(quán);和所述ACL高速緩沖存儲器控制模塊請求所述授權(quán)信息存儲模塊進(jìn)行ACL改變且請求所述域web服務(wù)器的所述ACL高速緩沖存儲器進(jìn)行高速緩沖存儲器同步。
全文摘要
一種用于管理或控制對xSP的外聯(lián)網(wǎng)的訪問的訪問管理裝置和方法。為了克服“集中授權(quán)和授權(quán)高速緩沖存儲器的問題”,本發(fā)明通過使用經(jīng)高速緩沖存儲的ACL來分散訪問管理的角色,并通過使用AA服務(wù)器來使所述經(jīng)分散的訪問管理角色同步。另外,本發(fā)明通過采用基于web瀏覽器cookie的驗(yàn)證/授權(quán)來克服“會話管理的低效率”,且本發(fā)明另外包括支持互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)以及處理多種安全/加密技術(shù)和用戶界定的訪問管理的功能。
文檔編號H04L29/06GK1926801SQ200480033309
公開日2007年3月7日 申請日期2004年11月8日 優(yōu)先權(quán)日2003年11月14日
發(fā)明者李世炫, 柳榮俊, 文成光 申請人:株式會社Nets